Появились первые свидетельства использования фреймворка Hexstrike-AI, который позволяет злоумышленникам автоматизировать поиск и эксплуатацию уязвимостей. Система использует искусственный интеллект для координации более 150 специализированных инструментов, сокращая время на подготовку атак с нескольких дней до менее чем 10 минут.
Всего через несколько часов после релиза фреймворка в даркнете началось активное обсуждение его применения против недавно обнаруженных уязвимостей в продуктах Citrix NetScaler ADC и Gateway. Речь идёт о трёх критических уязвимостях нулевого дня, раскрытых 26 августа: CVE-2025-7775 (уже используется для удалённого выполнения кода без аутентификации), CVE-2025-7776 (проблема обработки памяти) и CVE-2025-8424 (слабость контроля доступа).
Изначально Hexstrike-AI позиционировался как инструмент для тестирования защищённости, предназначенный для red team (команд красных команд, специализирующихся на имитации атак). Однако практически сразу после выпуска злоумышленники начали обсуждать его приспособление для вредоносных целей. Архитектура фреймворка включает слой оркестровки MCP (Model Context Protocol), который связывает большие языковые модели (LLM) типа Claude, GPT и Copilot с инструментами кибербезопасности.
Ключевая особенность Hexstrike-AI - способность переводить высокоуровневые команды (например, «атаковать NetScaler») в последовательность технических действий: сканирование, эксплуатация, обеспечение устойчивости доступа и эксфильтрация данных. Система автоматически выбирает инструменты, адаптируется к целевой среде и сохраняет работоспособность даже при сбоях.
Особую озабоченность вызывает временной фактор появления фреймворка. Эксплуатация уязвимостей Citrix требует глубоких знаний архитектуры и обычно занимает недели, но с помощью Hexstrike-AI злоумышленники могут выполнять масштабное сканирование и атаковать тысячи систем одновременно. В даркнете уже появились сообщения об успешных взломах, а также предложения о продаже скомпрометированных экземпляров NetScaler.
Для специалистов по защите информации текущий приоритет - немедленное обновление и усиление защиты уязвимых систем. Однако в более широком смысле Hexstrike-AI демонстрирует сдвиг парадигмы: оркестрация на основе ИИ становится реальностью и значительно сокращает время между раскрытием уязвимости и её массовой эксплуатацией.
Организациям необходимо адаптировать защитные меры: внедрять адаптивные системы обнаружения, сокращать циклы обновлений, интегрировать разведку угроз и проектировать инфраструктуру с учётом принципа предположения о возможном компрометировании. Гонка вооружений между атакующими и защищающимися переходит на новый уровень, где скорость и автоматизация играют решающую роль.
